交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
新闻
文章
大V快讯
财经日历
专题
ETF追踪
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
索拉纳ETF
大额转账
链上异动
比特币回报率
稳定币市值
合约计算器
期权分析
账号安全
资讯收藏
自选币种
我的关注
主流去中心化协议Yearn Finance已证实其平台近期遭遇安全漏洞攻击。11月30日,该协议遭到攻击,Yearn的yETH代币成为攻击目标。
主要亮点
● 一名黑客利用Yearn Finance的yETH产品中的“无限铸币”漏洞,创建了无限量的yETH代币,并在单笔交易中从流动性池中窃取了约300万美元。
● 被盗的约1000个ETH资金通过官方认可的隐私混合器Tornado Cash进行洗钱。
● Yearn Finance澄清,其核心金库在此次网络攻击中未受影响。
据报道,攻击者利用一项高度复杂的交易,伪造了近乎无限量的yETH代币。随后,这些伪造的代币被用于从关联的流动性池中窃取价值约300万美元的真实资产。
在这笔可疑交易发生后不久,链上数据显示,被盗资金(约1000个ETH)是通过Tornado Cash发送的,Tornado Cash是一种隐私工具,使得追踪加密货币交易变得极其困难。
yETH是什么?
yETH是一个流动性质押代币指数。它的目的是让以太坊网络上的日常用户更轻松地进行质押。yETH并非选择单一的质押服务,而是自动将包括Lido的stETH和Rocket Pool的rETH在内的多种热门质押代币组合成一个单一的代币。
这使得用户能够分散其收益型资产的持有风险。据DefiLIama数据显示,该产品非常受欢迎,协议上锁定的总价值超过882万美元。
Yearn Finance ETH发生了什么?
专家指出,攻击者利用了yETH智能合约中存在的无限漏洞。简而言之,该漏洞使得攻击者能够在无需提供所需抵押品的情况下,生成大量未经授权的yETH代币。
(来源:Togbe on X)
11月30日,攻击者利用新创建的智能合约与yETH系统进行交互。这些合约欺骗了系统,彻底绕过了正常的安全检查。攻击者仅用一笔交易就凭空铸造了数万亿枚yETH代币。
这笔巨额毫无价值的yETH随后立即被兑换成Balancer流动性池中的ETH和stETH等有价值资产。这使得攻击者能够耗尽该流动性池中的资金。
一位链上侦探率先追踪到网络上的可疑活动,指出该资金池已被盗取,获利约1000个ETH。攻击发生后,该资金池的价值几乎跌至零。据报道,扣除交易费用后,攻击者最终获利约300万美元。
为了掩盖这些痕迹,黑客攻击中的恶意合约被编程为在窃取数据后立即自毁。这是此类黑客攻击中常用的技术。
黑客随后迅速着手洗钱。全部1000个以太坊被拆分成小额款项,并通过Tornado Cash平台进行转账。该平台旨在抹去加密货币的交易痕迹,此前曾被美国政府正式制裁,因为它经常被犯罪分子用来隐藏资金。
Yearn Finance对该事件展开调查
此次黑客攻击事件发生后,Yearn Finance团队发布官方声明,确认他们正在调查涉及特定yETH池的漏洞。
然而,他们确保了管理着超过5亿美元的Yearn金库完全不受影响。这种问题隔离避免了更大的灾难。Yearn澄清说,yETH是一个实验性指数,独立于其主安全金库系统运行。
这并非Yearn Finance首次遭受网络攻击。早在2023年4月,该协议就曾因一份陈旧过时的合约而遭遇类似漏洞攻击,导致攻击者窃取了1100万美元。
